В скандалы, связанные с обработкой персональных данных пользователей, регулярно попадают как гиганты IT-рынка, так и небольшие компании. Но если условный Google может оправиться от многомиллионных штрафов, то для стартапа ошибки в политике конфиденциальности могут быть губительны. О том, как минимизировать риски с юридической стороны, расскажу в этом материале.
Задуматься о создании политики конфиденциальности (ПК) стоит уже на этапе разработки продукта или услуги. Выпускать на рынок решение без грамотно оформленной ПК – все равно что повесить на компанию мишень для потенциальных юридических преследований.
Законы, которые регулируют ПК в России
Чтобы разобраться в том, как правильно прописать политику конфиденциальности, необходимо знать, на какие законодательные акты нужно опираться. В России ПК регулирует целый ряд законов:
Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных";
Федеральный закон от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации";
Гражданский кодекс РФ;
Кодекс РФ об административных правонарушениях;
Уголовный кодекс РФ;
Трудовой кодекс РФ.
Кроме того, важно внимательно следить за разъяснениями Роскомнадзора, которые, как показывает пример с разблокировкой Телеграма, могут меняться довольно быстро.
Что обязательно должно быть в ПК
Любая политика конфиденциальности состоит из разделов:
Общий.
О сборе и использовании личной информации.
О сборе и использовании неличной информации.
О файлах cookie и других технологиях.
О раскрытии информации третьим лицам.
О защите личной информации.
О хранении личной информации.
О трансграничной передаче данных.
О правах пользователей на конфиденциальность.
О несовершеннолетних пользователях.
О стране или регионе, право которого применяется.
О сервисах на основе данных о местоположении.
О сторонних сайтах и сервисах.
О правилах переписки с пользователями по вопросам конфиденциальности.
Хотел бы остановиться для более подробного разъяснения некоторых моментов. В общем разделе необходимо указать, к какой компании относится ПК и по какому адресу в интернете с ней можно ознакомиться. Прописать, что политика конфиденциальности регулирует сбор, использование, раскрытие, передачу и хранение личной информации пользователей. Указать, что информация о данных и конфиденциальности встроена в продукты и услуги компании.
Здесь же нужно также разъяснить основные понятия: что такое сбор и использование информации, разница между личной и неличной информацией, что такое файлы cookie и какие сходные технологии использует компания. Что такое трансграничная передача данных, кто признается несовершеннолетним и т.д. – все это обязательно должно быть отображено в разделе.
Нужно указать, какую личную информацию о пользователе компания собирает. Так, личной информацией являются данные, которые можно использовать для установления личности человека или для связи с ним – имя и фамилия, почтовый адрес, номер телефона, емейл и т.д. Компании могут также собирать неличную информацию. Это данные, которые не относятся непосредственно к конкретному человеку – уникальный идентификатор устройства (IMEI), URL-адрес источника ссылки, местоположение и т.д. Все это должно быть отображено в ПК.
Важно прописать основание для обработки данных о пользователях. Обычно его формулируют так: в целях улучшения продуктов и услуг компании, ее сервисов, а также контента и рекламы. Здесь будет не лишним указать, что пользователь не обязан раскрывать личную информацию по запросу компании, но в некоторых случаях это может привести к тому, что стартап не сможет предоставить ему продукт, оказать услугу или ответить на запрос.
Международный аспект
Стартапы, которые планируют или уже вышли на международный рынок, могут отправлять информацию на серверы других компаний, расположенных за рубежом – это называется трансграничной передачей данных. Чтобы обезопасить себя, в ПК таким компаниям необходимо указать, что любая информация, которую предоставляет пользователь, может быть передана или получена зарубежными компаниями в соответствии с данной политикой конфиденциальности. Здесь же стартапу необходимо прописать, что у него есть аффилированные лица, которые несут самостоятельную ответственность за сбор и обработку личной информации от имени компании. И, конечно же, способы трансграничной передачи данных должны соответствовать установленным международным стандартам конфиденциальности – как формально, так и на деле.
Необходимость связи с другими документами
Соглашение об условиях и положениях (Terms & Agreements) – один из основных документов, регулирующих взаимодействие компании и пользователей ее решений. Здесь стартапы нередко совершают распространенную ошибку и либо смешивают ПК с Terms & Agreements, либо создают отдельные документы и никак не связывают их друг с другом. От невнимательности не застрахованы даже крупные бренды: так, Volkswagen в Terms & Agreements упоминает, что использует сайт для сбора IP-адресов и сопоставляет их с почтовым индексом пользователей, задействуя стороннюю базу данных. Все это – явная деятельность по сбору и обработке данных, однако в документе Volkswagen не ссылается на политику конфиденциальности, с которой должен согласиться или не согласиться посетитель сайта.
Чтобы избежать этой ошибки, необходимо прочно связывать два документа как по смыслу, так и прямыми ссылками. Как правило, в Terms & Conditions охватываются вопросы обработки пользовательских данных, поэтому компаниям необходимо ссылаться на свою политику конфиденциальности.
Чем могут обернуться упущения в ПК
Какие последствия могут повлечь нарушения норм политики конфиденциальности? Помимо административной (штрафы для должностных лиц и самой компании, блокировка сайта) и уголовной ответственности (вплоть до лишения свободы), стартап, нарушивший ПК, может быть привлечен к гражданско-правовой ответственности в виде возмещения пользователю убытков и компенсации морального вреда. Кроме того, нельзя упускать фактор громадного ущерба для репутации бизнеса, что в некоторых случаях даже может привести к финансовому краху.
Так случилось с британской аналитической компанией Cambridge Analytica. Выяснилось, что она собирала данные 87 млн пользователей через свое приложение в Facebook и использовала их для размещения политической рекламы во время президентской кампании в США и референдума о выходе Великобритании из Евросоюза в 2016 году. Cambridge Analytica утверждали, что лишь пользовались легальным способом сбора информации для рекламы, разрешенным Facebook. Однако аргументы ответчика суд не убедили, а на фоне скандала компания еще и растеряла всех клиентов и объявила о банкротстве. Досталось и Facebook: корпорацию наказали крупнейшим в истории штрафом – 5 млрд долларов. Руководство социальной сети также взяло на себя обязательства пересмотреть отношение к сохранению конфиденциальных данных пользователей.
Чтобы обезопасить себя от таких инцидентов, подход к политике конфиденциальности уже меняет Apple. В обновленной системе iOS 14 встроена функция, которая требует, чтобы приложения получали соответствующие разрешения от пользователей перед сбором их данных. Это дает клиентам компании возможность решать самостоятельно, какую личную информацию они будут предоставлять приложениям.
Конечно же, стартап может разработать политику конфиденциальности своими силами. Но нужно учитывать временные затраты на ее создание, а также отсутствие юридической защищенности и значительные репутационные и финансовые риски в случае ошибок. Чтобы их минимизировать, лучше всего обратиться к профессиональному юристу с релевантным опытом.
utm
Спасибо за полезную подборку! Хочется побольше примеров конкретных формулировок, конечно. Ну и продолжения про GDPR.